Скачать презентацию INFN-AAI Technical Design Report Enrico M V Fasanelli Скачать презентацию INFN-AAI Technical Design Report Enrico M V Fasanelli

db48f8e217949a57caa4d8ce01698f4c.ppt

  • Количество слайдов: 34

INFN-AAI Technical Design Report Enrico M. V. Fasanelli Dael Maselli Silvia Arezzini INFN-AAI Technical Design Report Enrico M. V. Fasanelli Dael Maselli Silvia Arezzini

Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti

Review del CDR & INFN-AAI l La review del CDR ha dato origine a Review del CDR & INFN-AAI l La review del CDR ha dato origine a 2 tipi di azioni l Rapida (ma precisa) valutazione di alcuni consigli l --> addendum 1 al CDR l Promessa di rimandi al TDR l Autorizzazione/Gruppi/Ruoli: IAM l Struttura del DIT l Robustezza (operatività locale), Disaster Recovery l Implementazione di Id. P SAML e federazioni l PKI & VOMS

Review del CDR & CCR l I “compiti” per la CCR erano: l Coinvolgimento Review del CDR & CCR l I “compiti” per la CCR erano: l Coinvolgimento del management l IAM l Man-power specialmente per Windows

TDR modulare l l Nel CDR (+addendum) erano chiaramente indicate le risorse necessarie per TDR modulare l l Nel CDR (+addendum) erano chiaramente indicate le risorse necessarie per proseguire le attività. Le risorse non si sono liberate, ma abbiamo voluto continuare ugualmente. L’unico modo per farlo era di dividere il lavoro relativo al TDR in moduli Questo modulo descrive i servizi del nucleo di INFN-AAI

Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti

TDR: Core Services l l l l Il supporto per IAM: GOVA Autenticazione Autorizzazione TDR: Core Services l l l l Il supporto per IAM: GOVA Autenticazione Autorizzazione Backup & Disaster Recovery Schema Applicazioni Web ed Id. P SAML Specifiche Hardware

IAM l Due pezzi di IAM l Definizione legale/amministrativa della gestione delle Identità e IAM l Due pezzi di IAM l Definizione legale/amministrativa della gestione delle Identità e dei diritti di accesso (non solo a sistemi informatici) l Workflow dell’acquisizione e gestione dei dati personali l Workflow del [de-]provisioning di diritti l Strumento informatico che implementi quanto sopra

IAM & GOVA l Gestione Ospiti Visitatori ed Associati l Eredita dalla Gestione Visitatori IAM & GOVA l Gestione Ospiti Visitatori ed Associati l Eredita dalla Gestione Visitatori l Implementa una parte nuova di Gestione Ospiti l Ingloba la parte di Gestione Associati, ora fatta da Data. Web l Importa dati dei dipendenti presi da HR

Autenticazione l Come definito nel CDR saranno supportati l Kerberos 5 l Certificati X. Autenticazione l Come definito nel CDR saranno supportati l Kerberos 5 l Certificati X. 509 l Coppia username/password importate dal mondo unix (solo per il periodo di tempo necessario per la transizione a Kerberos 5) l Password importate nel server LDAP e usate per bind LDAP l Migrazione a Kerberos 5 via plug-in

Autorizzazione l l l Autorizzazione suddivisa in 2 livelli: l appartenenza ad un gruppo Autorizzazione l l l Autorizzazione suddivisa in 2 livelli: l appartenenza ad un gruppo / ruolo l diritto sulla risorsa, entitlement La maggior parte delle applicazioni permetto di esternalizzare la gestione dei gruppi ma NON gli entitlements Tuttavia i nuovi sistemi e applicazioni homemade iniziano ad utilizzare LDAP anche per la gestione degli entitlement

Autorizzazione (gruppi) l l l Ci sono varie strutture per rappresentare i gruppi in Autorizzazione (gruppi) l l l Ci sono varie strutture per rappresentare i gruppi in un sistema LDAP (group, group. Of. Unique. Names, …) Per assicurarci la compatibilità con tutte le strutture GOVA gestirà l’appartenenza ai gruppi e li inserirà in LDAP nelle varie modalità supportate Utilizzando una struttura opportuna dei nomi come infn. ccr. members, lnf. computing. members o user. dmaselli. friends sarà possibile una gestione personalizzata dei vari gruppi

Autorizzazione (entitlements) Per le applicazioni che ne potranno fare uso verranno gestite le autorizzazioni Autorizzazione (entitlements) Per le applicazioni che ne potranno fare uso verranno gestite le autorizzazioni di accesso alle risorse tramite opportuni entitlements nelle entry degli utenti l urn: mace: infn. it: entitlement: gova: visitors: admi urn: mace: infn. it: entitlement: dataweb: preventivi: cn: ccr: aai: writer l potranno derivare in modo automatico dall’appartenenza ad un gruppo o l essere associati staticamente ai singoli utenti l

Backup & Disaster Recovery l l Grazie ad un plug-in scritto appositamente per 389 Backup & Disaster Recovery l l Grazie ad un plug-in scritto appositamente per 389 DS saranno tracciate tutte le modifiche alla directory Questo permetterà di effettuare un rollback ad ogni istante nella storia dei dati Utile anche per conoscere ad esempio lo stato di una entry ad un certo point-in-time Chiunque sia autorizzato potrà effettuare autonomamente tali operazioni (sempre via GOVA)

Schema l l Lo schema delle object. Class è stato studiato per rispettare al Schema l l Lo schema delle object. Class è stato studiato per rispettare al massimo gli standard e seguire le linee guida di organizzazioni come Internet 2 o TERENA per garantire l’interoperabilita’ e lo scambio di conoscenze con realta’ esterne all’ente E’ in fase di definizione una object. Class infn. Person per alcuni attributi che non hanno trovato posto nelle object. Class standard, SCHAC o edu. Person

Applicazioni Web l l l Ad oggi quasi tutte le applicazioni sono accessibili via Applicazioni Web l l l Ad oggi quasi tutte le applicazioni sono accessibili via web Internet 2 ha sviluppato un protocollo per la gestione delle AA per il web: SAML 2. 0 Consente di ottenere il Single Sign On Evita che le credenziali transitino attraverso le applicazioni Permette la federazione di AAI di più istituti

Applicazioni Web (SAML 2. 0) l l l Il sistema si basa su due Applicazioni Web (SAML 2. 0) l l l Il sistema si basa su due componenti L’Identity Provider (Id. P) è un server web che controlla le autenticazioni e gestisce le informazioni di autorizzazione degli utenti di un singolo istituto (idp. infn. it) Con Service Provider si intende un’applicazione a cui si chiede un servizio

Applicazioni Web (SAML 2. 0) l l l Utente: tramite browser, accede al SP Applicazioni Web (SAML 2. 0) l l l Utente: tramite browser, accede al SP SP: ridirige il browser verso l’Id. P: identifica l’utente tramite login Id. P: crea una assertion, ossia un pacchetto XML firmato RSA contente le informazioni dell’utente Id. P: ridirige il browser verso il SP allegando in una l’assertion SP: controlla la firma RSA e applica le autorizzazioni necessarie all’utente

Hardware Hardware

Specifiche Hardware Totale 14 macchine l l 3 Oracle DB 3 Application Server 4 Specifiche Hardware Totale 14 macchine l l 3 Oracle DB 3 Application Server 4 Directory Server 4 Kerberos 5 KDC Hardware l l l 1 CPU 4 -core RAM 8 GB Alimentatore ridondato 2 x 1 GB Ethernet Scheda RAID l l 3+ HDD 15 Krpm l l l Write back cache >= 256 MB RAID 1 + hot spare Standard rack mount 19” HBA Fibre Channel, solo per 2 macchine Oracle DB LNF

Costi dell’Hardware l l Da una offerta di E 4 del 5/6/2009 l 1 Costi dell’Hardware l l Da una offerta di E 4 del 5/6/2009 l 1 CPU 4 -core, RAM 8 GB, Alimentatore ridondato, 2 x 1 GB Ethernet, Scheda RAID (Write back cache = 256 MB), 3+HDD 15 Krpm (RAID 1 + hot spare), Standard rack mount 19”, IPMI: 2150+IVA *12=30960 l 2 con HBA FC: 5220+IVA=6264 Totale: 37600 (28 K già assegnati, 10 K chiesti per la prossima riunione di CCR)

Alcuni approfondimenti l l l GOVA HA-WAN DIT Alcuni approfondimenti l l l GOVA HA-WAN DIT

GOVA: prima fase l l l Creazione Database GOVA Porting Associati su GOVA Sviluppo GOVA: prima fase l l l Creazione Database GOVA Porting Associati su GOVA Sviluppo Gestione degli Ospiti

GOVA: seconda fase l l l Adattamento di GOVA per autenticare e autorizzare via GOVA: seconda fase l l l Adattamento di GOVA per autenticare e autorizzare via LDAP (AAI) Implementazione del protocollo AAI per scrivere su LDAP (AAI) in java (API) Gestione delle autorizzazioni di una anagrafica in GOVA (usando il framework definito al punto precedente).

GOVA: terza fase l l Analisi Workflow IAM Modifica di GOVA per la gestione GOVA: terza fase l l Analisi Workflow IAM Modifica di GOVA per la gestione dei workflow e per la gestione delle autorizzazioni per le anagrafiche.

GOVA: i tempi GOVA: i tempi

GOVA: HA-WAN l l l Il sistema GOVA, così come disegnato è un elemento GOVA: HA-WAN l l l Il sistema GOVA, così come disegnato è un elemento critico di tutta la INFN-AAI. Per garantire la continuità del servizio si è pensato ad una configurazione in HA sia su LAN, che su WAN. Rimane da verificare quale modalità di HA (si sta pensando ad Heartbeat su una VLAN VPLS condivisa dalle 2 sedi. In teoria dovrebbe rispondere alle specifiche richieste, ma non si la si è ancora provata)

DIT l l MIX (In medio stat virtus) di due modelli Accesso in scrittura, DIT l l MIX (In medio stat virtus) di due modelli Accesso in scrittura, controllato Solo GOVA o LDAP

Esempio di una entry dn: infn. UUID=6 e 4 b 0 a 83 -4067 Esempio di una entry dn: infn. UUID=6 e 4 b 0 a 83 -4067 -4966 -a 4 c 1 -5 d 4797114 fef, ou=People, dc=infn, dc=it telephone. Number: +390694032214 postal. Address: Via Enrico Fermi, 40 - 00044 FRASCATI infn. Kerberos. Principal: [email protected] INFN. IT schac. Personal. Position: Collaboratore Tecnico E. R. member. Of: cn=infn. csn. ccr. esperimento. aai. resploc. lnf. membri, ou=Groups, dc=infn, dc=it member. Of: cn=infn. csn. ccr. esperimento. webtools. respnaz. membri, ou=Groups, dc=infn, dc=it member. Of: cn=infn. csn. ccr. esperimento. webtools. resploc. lnf. membri, ou=Groups, dc=infn, dc=it member. Of: cn=Calcolo, ou=Groups, dc=lnf, dc=infn, dc=it uid: dmaselli infn. UUID: 6 e 4 b 0 a 83 -4067 -4966 -a 4 c 1 -5 d 4797114 fef schac. Personal. Unique. ID: urn: mace: terena. org: schac: personal. Unique. ID: it: CF: MSLDLA 81 B 27 H 501 C sn: Maselli given. Name: Dael cn: Maselli Dael l: LNF edu. Person. Entitlement: urn: mace: infn. it: entitlement: iam: gova: visitors: write edu. Person. Entitlement: urn: mace: infn. it: entitlement: iam: gova: dipendenti: read+dc=lnf, dc=infn, dc=it edu. Person. Entitlement: urn: mace: infn. it: entitlement: prenotazioneaule: lnf: write mail: dael. [email protected] infn. it

Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti Agenda l l l Introduzione Il TDR: Core Services Uno sguardo in avanti

Altri moduli del TDR - I l IAM l Definizione dei workflow ed integrazione Altri moduli del TDR - I l IAM l Definizione dei workflow ed integrazione dei workflow in GOVA l Definizione del DOcumento delle Procedure di Accreditamento degli Utenti (DOPAU) necessario per aderire alle federazioni di AAI (progetto IDEM del GARR)

Altri moduli del TDR - II l Implementazione di INFN-AAI nelle sedi l Analisi Altri moduli del TDR - II l Implementazione di INFN-AAI nelle sedi l Analisi dei vari scenari ed esame sede per sede, con indicazioni specifiche l Aggiornamento dello schema con le classi di oggetti necessarie alle esigenze locali

Altri moduli del TDR - III l Integrazione con Windows l Necessaria, ma serve Altri moduli del TDR - III l Integrazione con Windows l Necessaria, ma serve almeno una persona dedicata

Altri moduli del TDR - IV l PKI & VOMS l Lo scorso anno Altri moduli del TDR - IV l PKI & VOMS l Lo scorso anno sembrava una grosso capitolo, ma alla luce di quanto detto al WS INFN-GRID, sembra che VOMS vada nella direzione di SAML